Pereiti prie pagrindinio turinio

Kas nutinka, jeigu mano įmonė ar organizacija nesilaiko duomenų apsaugos taisyklių?

Atsakymas

Bendruoju duomenų apsaugos reglamentu (BDAR) numatoma įvairių galimybių, kurių duomenų apsaugos institucijos gali imtis, jeigu nesilaikoma duomenų apsaugos taisyklių:

  • galimo pažeidimo atveju gali būti skirtas įspėjimas;
  • pažeidus reglamento nuostatas gali būti pareikštas papeikimas, nustatytas laikinas arba galutinis draudimas tvarkyti duomenis ir skirta bauda iki 20 milijonų eurų arba 4 proc. įmonės bendros metinės pasaulinės apyvartos.

Verta pažymėti, kad pažeidimo atveju DAI gali skirti piniginę baudą vietoj papeikimo ir (arba) draudimo tvarkyti duomenis arba skirti piniginę baudą kartu su papeikimu ir (arba) draudimu tvarkyti duomenis.

Institucija turi užtikrinti, kad kiekvienu atveju skirtos baudos yra veiksmingos, proporcingos ir atgrasančios. Ji atsižvelgia į daugelį veiksnių, kaip antai pažeidimo pobūdį, sunkumą ir trukmę, tai, ar pažeidimas buvo tyčinis ar aplaidus, veiksmus, kurių imtasi patirtai žalai sumažinti, organizacijos bendradarbiavimo mastą ir pan.

Pavyzdys

Įmonė internetu prekiauja namų apyvokos prekėmis. Jos interneto svetainėje vartotojai gali įsigyti virtuvinės įrangos, stalų, kėdžių ir kitų namams skirtų prekių. Perkant reikėjo suvesti savo banko duomenis. Interneto svetainė patyrė kibernetinę ataką, kurios metu užpuolikas gavo asmens duomenis. Šiuo atveju duomenys buvo prarasti, nes įmonė nesiėmė tinkamų techninių priemonių.

Priežiūros institucija, prieš nuspręsdama dėl taisomųjų veiksmų, atsižvelgs į daug veiksnių. Ar IT sistema turėjo rimtų trūkumų? Kaip ilgai IT infrastruktūrai grėsė toks pavojus? Ar praeityje buvo atlikti bandymai, skirti išvengti tokių atakų? Kelių klientų duomenys buvo pavogti / atskleisti? Kokie asmens duomenys nukentėjo? Ar buvo neskelbtinų duomenų? Priežiūros institucija turi atsižvelgti į visas šias ir kitas aplinkybes.

Nuorodos

Example

A company sells online household material. Through its website, consumers can buy kitchen appliances, tables, chairs and other domestic goods by entering their bank details. The website suffered a cyber-attack leading to personal details being rendered available to the attacker. In this case, the lack of appropriate technical measures by the company seems to have been the cause of the data loss.

In this instance, various factors will be considered by the supervisory authority before deciding what corrective tool to use. Factors such as: how serious was the deficiency in the IT system? How long had the IT infrastructure been exposed to such a risk? Were tests carried out in the past to prevent such an attack? How many customers had their data stolen/disclosed? What type of personal data was affected – did it include sensitive data? All these and other considerations will be taken into account by the supervisory authority.